すべてのプロダクト
Search

このプロダクト

    PrivateLink:PrivateLink を使用した OSS へのアクセス

    ドキュメントセンター

    PrivateLink:PrivateLink を使用した OSS へのアクセス

    最終更新日:Dec 27, 2024

    PrivateLink を使用すると、仮想プライベートクラウド (VPC) と他の Alibaba Cloud サービス間のプライベートで安定したセキュアな接続を確立できます。このトピックでは、PrivateLink を使用して VPC からオブジェクトストレージサービス (OSS) にアクセスする方法について説明します。

    背景情報

    Alibaba Cloud サービスにアクセスする際に、以下の課題が発生する可能性があります。

    • データセキュリティリスク: インターネット経由で Alibaba Cloud サービスにアクセスする場合、機密情報が漏洩する可能性があります。これはデータセキュリティに対する脅威となります。

    • CIDR ブロックの競合: デフォルトでは、Alibaba Cloud サービスは 100.64 CIDR ブロックを使用します。データセンターで同じ CIDR ブロックを使用している場合、アドレスの競合が発生します。

    • O&M 管理の難しさ: 従来のプライベートネットワーク経由でサービスにアクセスする場合、O&M チームは Alibaba Cloud サービスへのアクセストラフィックを監査できません。

    これらの課題に対処するために、PrivateLink の使用をお勧めします。これには、以下の利点があります。

    • 強化されたデータプライバシー: PrivateLink は、インターネット経由でのデータの露出を効果的に防ぎ、データ漏洩のリスクを軽減します。

    • 最適化されたネットワークアーキテクチャ: PrivateLink を使用すると、ルートを設定する必要がなくなり、データセンターとクラウド間の CIDR ブロックの競合を防ぐことができます。ネットワーク管理が簡素化されます。

    • 強化されたアクセス制御: PrivateLink は、ソース認証ときめ細かい権限管理をサポートしており、データセキュリティを確保します。さらに、VPC フローログとトラフィックミラーリング機能により、アクセストラフィックの包括的な監視と監査が可能になり、データセキュリティがさらに向上します。

    シナリオ

    このトピックでは、次のシナリオを例として使用します。ある企業がインドネシア (ジャカルタ) リージョンに OSS をデプロイし、バケット 1 とバケット 2 という名前の 2 つのプライベートバケットを作成し、オブジェクトをバケットにアップロードします。企業はデータセンターがバケット 1 のみにアクセスできるようにしたいと考えています。機密情報がインターネット経由で公開されたり、データセンターの CIDR ブロックが Alibaba Cloud サービスの 100.64 CIDR ブロックと競合したりするのを防ぐために、PrivateLink を使用してプライベートネットワーク経由でバケット 1 にアクセスできます。

    OSS をエンドポイントサービスとして指定し、VPC にエンドポイントを作成して OSS に接続する必要があります。その後、Express Connect または VPN Gateway を使用して、データセンターを VPC に接続できます。このようにして、データセンターはプライベートネットワーク経由で OSS にアクセスできます。

    制限事項

    • 以下のリージョンにあるエンドポイントからプライベートネットワーク経由で OSS にアクセスできます。中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (北京)、中国 (香港)、インドネシア (ジャカルタ)、シンガポール。

    • エンドポイントと OSS は同じリージョンにデプロイする必要があります。

    前提条件

    • OSS への PrivateLink ベースのアクセス申請が OSS 技術サポートによって承認されていること。詳細については、「PrivateLink を使用した OSS へのアクセス」を参照してください。

    • バケット 1 とバケット 2 という名前の 2 つのプライベート OSS バケットが作成され、対応するオブジェクトがバケットにアップロードされていること。詳細については、「バケットの作成」を参照してください。

    • OSS がデプロイされているリージョンに VPC と vSwitch が作成されていること。VPC に Elastic Compute Service (ECS) インスタンスが作成されていること。詳細については、「VPC と vSwitch の作成」および「コンソールでの ECS インスタンスの作成と管理 (簡易版)」を参照してください。

    手順 1: インターフェースエンドポイントを作成する

    1. VPC コンソールにログインします。

    2. 上部のナビゲーションバーで、リージョンドロップダウンリストから インドネシア (ジャカルタ) を選択します。

    3. エンドポイント ページで、エンドポイントの作成 をクリックします。

    4. エンドポイントの作成 ページで、エンドポイントの以下のパラメータを設定し、OK をクリックします。

      次の表では、このトピックに関連するパラメータのみについて説明します。その他のパラメータの設定方法の詳細については、「エンドポイントの作成と管理」を参照してください。

      パラメータ

      説明

      リージョン

      この例では、デフォルトで インドネシア (ジャカルタ) が選択されています。

      エンドポイント名

      エンドポイントの名前を入力します。

      エンドポイントタイプ

      この例では、インターフェースエンドポイント が選択されています。

      エンドポイントサービス

      関連付けるエンドポイントサービスを選択します。

      この例では、Alibaba Cloud サービス をクリックし、com.aliyuncs.privatelink.ap-southeast-5.oss という名前のエンドポイントサービスを選択します。

      VPC

      インターフェースエンドポイントを作成する VPC を選択します。

      セキュリティグループ

      エンドポイントの Elastic Network Interface (ENI) に関連付けるセキュリティグループを選択します。

      ゾーンと vSwitch

      VPC のゾーンと、そのゾーン内の vSwitch を選択します。

      アクセスポリシー

      アクセスポリシーを指定します。この例では、カスタムポリシー が選択されています。この例では、Alibaba Cloud アカウント 123456789012**** 内のすべての RAM ユーザーに、IP アドレスが 172.16.0.1 の ECS インスタンスを使用して バケット 1 内の 1.txt オブジェクトをダウンロードする権限を付与します。ポリシーの例:

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:GetObject" // OSS からオブジェクトを取得する許可
      ],
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::123456789012****:*" // Alibaba Cloud アカウント 123456789012**** 内のすべての RAM ユーザー
      },
      "Resource": [
        "acs:oss:*:*:Bucket1/1.txt" // バケット 1 内の 1.txt オブジェクト
      ],
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": [
            "172.16.0.1" // IP アドレスが 172.16.0.1 の ECS インスタンス
          ]
        }
      }
    }
  ]
}

      エンドポイントポリシーを使用して、サービスアクセスの権限を管理できます。エンドポイントポリシーを使用すると、指定された Alibaba Cloud ユーザーがエンドポイントを使用して指定されたリソースに対して実行できる操作を決定できます。これにより、ネットワークセキュリティが強化され、機密データが保護され、特定のセキュリティ要件が満たされます。詳細については、「エンドポイントポリシー」を参照してください。

      後で OSS にアクセスするために生成された PrivateLink エンドポイントを記録しておきます。

      image

    手順 2: VPC から OSS にアクセスする

    1. VPC に作成された ECS インスタンスにログインします。詳細については、「ECS インスタンスへの接続方法」を参照してください。

    2. エンドポイントのドメイン名を指定して、ossutil を使用して OSS にアクセスします。SDK を使用して OSS にアクセスすることもできます。詳細については、「PrivateLink を使用した OSS へのアクセス」トピックの SDK セクションを参照してください。

      1. ECS インスタンスに ossutil 1.7.17 以降をインストールします。詳細については、「ossutil のインストール」を参照してください。

        説明

        • この例では、ECS インスタンスは Alibaba Cloud Linux 3.2104 LTS 64 ビットを実行しています。ECS インスタンスに ossutil をダウンロードする前に、ECS インスタンスがインターネットにアクセスできることを確認してください。詳細については、「EIP」を参照してください。

        • ossutil を設定する際に、endpoint パラメータを 手順 1: インターフェースエンドポイントを作成する で生成されたエンドポイントのドメイン名に設定します。その他のパラメータの詳細については、「ossutil の設定」を参照してください。

      2. ossutil64 cp oss://examplebucket/examplefile.txt /tmp/ -e ep-k1aid5cd5d5249e9****.oss.ap-southeast-5.privatelink.aliyuncs.com --force-path-style コマンドを実行して、examplebucket 内の examplefile.txt オブジェクトをローカルディレクトリ /tmp/ にダウンロードします。

        この例では、-e を使用してエンドポイントのドメイン名を指定し、--force-path-style を使用して OSS へのパススタイルの URL アクセスを指定しています。

        • ECS インスタンスがバケット 1 にアクセスすると、次の出力が返されます。

          image

        • ECS インスタンスがバケット 2 にアクセスすると、次の出力が返されます。

          image

        PrivateLink を使用して VPC からアクセスできるのは、バケット 1 のみです。

    手順 3: データセンターを VPC に接続する

    VPN Gateway または Express Connect を使用して、データセンターと VPC 間のデータを同期できます。詳細については、「VPN ゲートウェイ経由で VPC 内のデータベースにデータを同期する」および「Express Connect 回線を使用して DTS をデータセンターに接続する」を参照してください。

    関連情報

    • PrivateLink のコンポーネントと使用シナリオの詳細については、「PrivateLink とは」を参照してください。

    • OSS の仕組みに関する詳細については、「OSS とは」を参照してください。

    • エンドポイントポリシーの構文と構造の詳細については、「ポリシーの構造と構文」を参照してください。

    • OSS のその他のアクセス制御ポリシーの設定方法の詳細については、「アクセス制御」を参照してください。

    • トラフィックの監視方法の詳細については、「概要」、「フローログ」、および「トラフィックミラーリング」を参照してください。